CN108282460B - 一种面向网络安全事件的证据链生成方法及装置 - Google Patents
一种面向网络安全事件的证据链生成方法及装置 Download PDFInfo
- Publication number
- CN108282460B CN108282460B CN201711376611.6A CN201711376611A CN108282460B CN 108282460 B CN108282460 B CN 108282460B CN 201711376611 A CN201711376611 A CN 201711376611A CN 108282460 B CN108282460 B CN 108282460B
- Authority
- CN
- China
- Prior art keywords
- evidence
- database
- network
- evidence data
- combination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000003068 static effect Effects 0.000 claims abstract description 25
- 230000001364 causal effect Effects 0.000 claims abstract description 23
- 230000009467 reduction Effects 0.000 claims abstract description 23
- 238000000605 extraction Methods 0.000 claims abstract description 22
- 238000010219 correlation analysis Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 9
- 238000004458 analytical method Methods 0.000 claims description 18
- 238000013507 mapping Methods 0.000 claims description 12
- 238000005336 cracking Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 8
- 238000000513 principal component analysis Methods 0.000 claims description 8
- 238000012098 association analyses Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 238000000691 measurement method Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 abstract description 8
- 239000011159 matrix material Substances 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 8
- 238000012935 Averaging Methods 0.000 description 2
- 238000012097 association analysis method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种面向网络安全事件的证据链生成方法及装置,其中,所述方法包括:获取已知网络攻击方式的动静态证据数据并建立证据数据库;对所述证据数据进行特征提取和降维处理,获得证据数据特征库;对证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;提取待分析网络安全事件的特征,并与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。本发明能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据,经过关联分析实现重构攻击场景,追踪攻击事件源头,构建网络安全事件完整、准确、真实的证据链。
Description
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种面向网络安全事件的证据链生成方法及装置。
背景技术
当前网络规模急剧增加,各类网络攻击的入侵过程也逐渐向复杂化、多样化和分布式的趋势发展,网络攻击带来的损失越来越严重,而针对各类网络安全事件的追踪溯源以及查处响应也变得日益困难。
为了应对目前严峻的网络安全形势,人们在网络上部署了各种网络安全监控和防御系统,例如入侵检测、防火墙、恶意代码防护系统、安全漏洞扫描系统、网络管理监控系统等。这些系统起到了一定的安全防御作用,产生的安全事件信息为网络安全管理提供了基本的决策和行动依据。
但这些系统产生的安全事件信息数据量巨大、误报率高、数据缺乏整合,特别是在大规模网络环境中,这一问题更加突出,无法为各类网络安全事件的追踪溯源提供有力依据,因此,面向网络安全事件的证据链生成技术研究显得越来越重要。
发明内容
为了解决现有技术中存在的安全事件信息数据量大、误报率高、数据缺乏整合的问题,本发明提供一种面向网络安全事件的证据链生成方法及装置。
根据本发明的一个方面,提供一种面向网络安全事件的证据链生成方法,包括:
S1,获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;
S2,对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;
S3,对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;
S4,对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;
S5,提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。
其中,所述步骤S3进一步包括:
S31,基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;
S32,构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;
S33,基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;
S34,基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。
其中,S1中所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括:
利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;
通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。
其中,所述步骤S2进一步包括:
利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。
其中,S5中将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括:
采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。
根据本发明的另一个方面,提供一种面向网络安全事件的证据链生成装置,包括:
证据数据库建立模块,用于获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;
特征库建立模块,用于对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;
关联分析模块,用于对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;
特征提取模块,用于对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;
证据链生成模块,用于提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。
其中,所述关联分析模块具体用于:
基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;
构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;
基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;
基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。
其中,所述证据数据库建立模块具体用于:
利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;
通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。
其中,所述特征库建立模块具体用于:
利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。
其中,所述证据链生成模块具体用于:
采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。
本发明提出的一种面向网络安全事件的证据链生成方法及装置,能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据,经过关联分析实现重构攻击场景,追踪攻击事件源头,构建网络安全事件完整、准确、真实的证据链。
附图说明
图1为根据本发明一实施例提供的一种面向网络安全事件的证据链生成方法的流程示意图;
图2为根据本发明另一实施例提供的一种面向网络安全事件的证据链生成装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本发明保护的范围。
如图1所示,为本发明一实施例提供的一种面向网络安全事件的证据链生成方法的流程示意图,包括:
S1,获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;
S2,对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;
S3,对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;
S4,对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;
S5,提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。
具体地,S1,针对常见的已知的网络攻击方式,通过密码破解、协议还原、内容解析等方式提取网络流、会话数据、安全日志等中的动静态证据数据,建立包括音视频、图像、文本等格式的证据数据库。
其中,所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括:
利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;
通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。
S2,获取到证据数据库之后,需要对其中的音视频、图像、文本等格式的证据数据进行特征提取和降维处理之后,才能用于后续的关联分析。
可以采用现有的特征提取和降维方法,优选地,利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。
其中,主成分分析是指将n维证据数据特征映射到k维上(k<n),这k维是全新的正交特征。这k维特征称为主元,是重新构造出来的k维特征。其算法步骤如下:
设有m条n维证据数据,
①将原始数据按列组成n行m列矩阵X;
②将X的每一行(代表一个属性字段)进行零均值化,即减去这一行的均值;
③求出协方差矩阵;
④求出协方差矩阵的特征值及对应的特征向量;
⑤将特征向量按对应特征值大小从上到下按行排列成矩阵,取前k行组成矩阵P;
⑥Y=PX即为降维到k维后的数据。
S3,从时间、空间等多个维度对证据数据特征进行关联分析,推断该证据数据特征所对应的可能的多种网络攻击方式的组合以及各组合发生的概率。本发明采用基于时空因果关系的关联分析法,能够有效地根据证据数据特征,分析出证据数据特征反映出的多个网络攻击方式组合,并推断各组合发生的概率。
基于时空因果关系的关联分析方法的步骤进一步包括:
S31,基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;
S32,构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;
S33,基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;
S34,基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。
S4,获得各种网络攻击方式组合之后,进行特征分析,提取出所有网络攻击方式组合的特征。
S5中,首先提取待分析网络安全事件的特征,然后将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。
其中,S5中将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括:
采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。
具体地,将网络安全事件的特征与攻击组合的特征进行相似度分析,分析方法可以采用欧氏距离、余弦夹角、相关系数等,选择相似度最高的攻击组合作为网络安全事件的证据链。
对于两个n维向量a(x11,x12,…,x1n)与b(x21,x22,…,x2n),它们之间的欧氏距离、夹角余弦和相关系数的计算方法分别如下。
欧氏距离的计算公式为:
夹角余弦的计算公式为:
相关系数的计算公式为:
其中,cov(a,b)表示a与b的协方差,D(a)和D(b)分别为a和b的方差,E(a)和E(b)分别为a和b的期望值。
本发明提出的一种面向网络安全事件的证据链生成方法,能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据,经过关联分析实现重构攻击场景,追踪攻击事件源头,构建网络安全事件完整、准确、真实的证据链。
如图2所示,为本发明另一实施例提供的一种面向网络安全事件的证据链生成装置的结构示意图,包括:证据数据库建立模块21、特征库建立模块22、关联分析模块23、特征提取模块24和证据链生成模块25,其中,
证据数据库建立模块21,用于获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;
特征库建立模块22,用于对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;
关联分析模块23,用于对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;
特征提取模块24,用于对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;
证据链生成模块25,用于提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。
具体地,证据数据库建立模块21针对常见的已知的网络攻击方式,通过密码破解、协议还原、内容解析等方式提取网络流、会话数据、安全日志等中的动静态证据数据,建立包括音视频、图像、文本等格式的证据数据库。
其中,所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括:
利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;
通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。
获取到证据数据库之后,需要对其中的音视频、图像、文本等格式的证据数据进行特征提取和降维处理之后,才能用于后续的关联分析。
特征库建立模块22采用现有的特征提取和降维方法,优选地,利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。
其中,主成分分析是指将n维证据数据特征映射到k维上(k<n),这k维是全新的正交特征。这k维特征称为主元,是重新构造出来的k维特征。其算法步骤如下:
设有m条n维证据数据,
①将原始数据按列组成n行m列矩阵X;
②将X的每一行(代表一个属性字段)进行零均值化,即减去这一行的均值;
③求出协方差矩阵;
④求出协方差矩阵的特征值及对应的特征向量;
⑤将特征向量按对应特征值大小从上到下按行排列成矩阵,取前k行组成矩阵P;
⑥Y=PX即为降维到k维后的数据。
关联分析模块23从时间、空间等多个维度对证据数据特征进行关联分析,推断该证据数据特征所对应的可能的多种网络攻击方式的组合以及各组合发生的概率。本发明采用基于时空因果关系的关联分析法,能够有效地根据证据数据特征,分析出证据数据特征反映出的多个网络攻击方式组合,并推断各组合发生的概率。
基于时空因果关系的关联分析方法的步骤进一步包括:
基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;
构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;
基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;
基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。
特征提取模块24用于获得各种网络攻击方式组合之后,进行特征分析,提取出所有网络攻击方式组合的特征。
证据链生成模块25首先提取待分析网络安全事件的特征,然后将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链。
其中,将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括:
采用欧式距离、夹角余弦或相关系数的方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。
具体地,对于两个n维向量a(x11,x12,…,x1n)与b(x21,x22,…,x2n),它们之间的欧氏距离、夹角余弦和相关系数的计算方法分别如下。
欧氏距离的计算公式为:
夹角余弦的计算公式为:
相关系数的计算公式为:
其中,cov(a,b)表示a与b的协方差,D(a)和D(b)分别为a和b的方差,E(a)和E(b)分别为a和b的期望值。
本发明提出的一种面向网络安全事件的证据链生成装置,能够从众多取证工具中提取并综合分析网络安全事件中涉及的各类证据数据,经过关联分析实现重构攻击场景,追踪攻击事件源头,构建网络安全事件完整、准确、真实的证据链。
最后,本发明的方法仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种面向网络安全事件的证据链生成方法,其特征在于,包括:
S1,获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;
S2,对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;
S3,对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;
S4,对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;
S5,提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链;
所述步骤S3进一步包括:
S31,基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;
S32,构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;
S33,基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;
S34,基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。
2.根据权利要求1所述的方法,其特征在于,S1中所述获取已知网络攻击方式的动静态证据数据的步骤进一步包括:
利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;
通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。
3.根据权利要求1所述的方法,其特征在于,所述步骤S2进一步包括:
利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。
4.根据权利要求1所述的方法,其特征在于,S5中将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算的步骤进一步包括:
采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。
5.一种面向网络安全事件的证据链生成装置,其特征在于,包括:
证据数据库建立模块,用于获取已知网络攻击方式的动静态证据数据,通过将所述动静态证据数据作为证据数据建立证据数据库;
特征库建立模块,用于对所述证据数据库中的证据数据进行特征提取和降维处理,获得所述证据数据库中的证据数据对应的证据数据特征,基于所述证据数据特征建立证据数据特征库;
关联分析模块,用于对所述证据数据特征库中的证据数据特征进行基于时空因果关系的关联分析,获得多种网络攻击方式组合以及各组合发生的概率;
特征提取模块,用于对各所述网络攻击方式组合进行特征分析,提取所有网络攻击方式组合的特征;
证据链生成模块,用于提取待分析网络安全事件的特征,并将所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算,选取相似度最高的网络攻击方式组合作为所述待分析网络安全事件的证据链;
所述关联分析模块具体用于:
基于已获知完整证据链的网络安全历史事件训练集,获取面向所述网络安全历史事件的多种攻击组合方式以及与所述攻击组合方式相对应的证据数据间的因果关系图和时空关系图;
构建攻击组合方式数据库、攻击组合方式与证据数据间的映射关系数据库以及反映各攻击间的因果关系和时空关系的关联数据库;
基于所述映射关系数据库和所述证据数据特征库中的证据数据特征,推断网络攻击方式组合;
基于所述关联数据库和攻击组合方式数据库,推断所述网络攻击方式组合发生的概率。
6.根据权利要求5所述的装置,其特征在于,所述证据数据库建立模块具体用于:
利用协议还原技术解析和提取网络流数据中与安全事件相关的通信会话和文件传输内容,获得动态证据数据;
通过密码破解和内容解析提取网络中各类文件和邮件内容,获得静态证据数据。
7.根据权利要求5所述的装置,其特征在于,所述特征库建立模块具体用于:
利用主成分分析或聚类方法对所述证据数据库中的证据数据进行特征提取和降维处理,获得证据数据特征库。
8.根据权利要求5所述的装置,其特征在于,所述证据链生成模块具体用于:
采用基于欧式距离、夹角余弦或相关系数的相似度度量方法对所述待分析网络安全事件的特征与所述所有网络攻击方式组合的特征逐一进行相似度的计算。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711376611.6A CN108282460B (zh) | 2017-12-19 | 2017-12-19 | 一种面向网络安全事件的证据链生成方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711376611.6A CN108282460B (zh) | 2017-12-19 | 2017-12-19 | 一种面向网络安全事件的证据链生成方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108282460A CN108282460A (zh) | 2018-07-13 |
| CN108282460B true CN108282460B (zh) | 2020-06-09 |
Family
ID=62801842
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711376611.6A Expired - Fee Related CN108282460B (zh) | 2017-12-19 | 2017-12-19 | 一种面向网络安全事件的证据链生成方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108282460B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218305B (zh) * | 2018-09-12 | 2020-12-08 | 中国人民解放军战略支援部队信息工程大学 | 基于报警聚合的网络取证方法及装置 |
| CN109308409A (zh) * | 2018-10-16 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于相似度计算的攻击路径重构方法 |
| CN110674840B (zh) * | 2019-08-22 | 2022-03-25 | 中国司法大数据研究院有限公司 | 一种多方证据关联模型构建方法和证据链提取方法及装置 |
| CN112333196B (zh) * | 2020-11-10 | 2023-04-04 | 恒安嘉新(北京)科技股份公司 | 一种攻击事件溯源方法、装置、电子设备和存储介质 |
| CN115037562B (zh) * | 2022-08-11 | 2022-11-15 | 北京网藤科技有限公司 | 用于安全验证的工控网络靶场构建方法及系统 |
| CN116582347A (zh) * | 2023-06-05 | 2023-08-11 | 北京网藤科技有限公司 | 安全检测方法、装置、电子设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916385A (zh) * | 2014-03-13 | 2014-07-09 | 南京理工大学 | 一种基于智能算法的waf安全监测系统 |
| CN104348829A (zh) * | 2014-09-26 | 2015-02-11 | 智慧城市信息技术有限公司 | 一种网络安全态势感知系统及方法 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10216938B2 (en) * | 2014-12-05 | 2019-02-26 | T-Mobile Usa, Inc. | Recombinant threat modeling |
-
2017
- 2017-12-19 CN CN201711376611.6A patent/CN108282460B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916385A (zh) * | 2014-03-13 | 2014-07-09 | 南京理工大学 | 一种基于智能算法的waf安全监测系统 |
| CN104348829A (zh) * | 2014-09-26 | 2015-02-11 | 智慧城市信息技术有限公司 | 一种网络安全态势感知系统及方法 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108282460A (zh) | 2018-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108282460B (zh) | 一种面向网络安全事件的证据链生成方法及装置 | |
| CN112398779B (zh) | 一种网络流量数据分析方法及系统 | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN110380896B (zh) | 基于攻击图的网络安全态势感知系统和方法 | |
| CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
| CN109889538B (zh) | 用户异常行为检测方法及系统 | |
| CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
| Juvonen et al. | An efficient network log anomaly detection system using random projection dimensionality reduction | |
| CN113821793A (zh) | 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
| CN111464510B (zh) | 基于快速梯度提升树分类模型的网络实时入侵检测方法 | |
| CN115134250A (zh) | 一种网络攻击溯源取证方法 | |
| CN112163493A (zh) | 一种视频虚假人脸检测方法及电子装置 | |
| CN114710417B (zh) | 基于格拉姆角场变换的Tor用户访问网站识别方法及系统 | |
| CN109995722A (zh) | 面向apt防护的海量检测数据分析系统 | |
| CN111209959B (zh) | 基于数据包时序的加密网页流量分割点识别方法 | |
| CN116827656A (zh) | 网络信息安全防护系统及其方法 | |
| US11822636B1 (en) | Biometric keystroke attribution | |
| CN113132291B (zh) | 一种边缘侧基于网络流量的异构终端特征生成及识别方法 | |
| CN110912895A (zh) | 一种基于感知哈希的网络数据流溯源方法 | |
| CN114615056B (zh) | 一种基于对抗鲁棒性学习的Tor恶意流量检测方法 | |
| Fernandes et al. | Statistical, forecasting and metaheuristic techniques for network anomaly detection | |
| CN116708708B (zh) | 一种基于分布式的无纸化会议的构建方法及系统 | |
| CN114006725B (zh) | 一种多层次信息融合的网络攻击态势实时感知方法 | |
| CN117633665B (zh) | 一种网络数据监控方法及系统 | |
| CN113055334B (zh) | 终端用户的网络行为的监管方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200609 |